Een volledig lokaal, afgesloten netwerk (VLAN) in je router creëren speciaal en uitsluitend voor je wifi-beveiligingscamera's

Portret van Marten van der Geest, duurzame energie en beveiligingstechnicus
Marten van der Geest
Duurzame energie en beveiligingstechnicus
Privacywetgeving beveiligingscamera · 2026-02-15 · 6 min leestijd

Een camera die via je hoofd-wifi alles naar de cloud stuurt, is handig, maar het voelt ook een beetje alsof je de sleutel onder de deurmat legt. Je wilt die beelden gewoon in je eigen huis houden, zonder dat er ongenodigde gasten via je wifi naar binnen gluren. Het antwoord is een digitale schutting: een eigen, afgesloten netwerkje voor je camera's, een zogenaamd VLAN. Zo hou je ze veilig en gescheiden van je dagelijkse internetgebruik.

Wat is een VLAN en waarom is het een must voor je camera's?

Stel je je thuissnetwerk voor als een groot kantoorpand. Standaard heeft iedereen (jij, je laptop, je smart-tv en je camera's) een pasje dat overal toegang geeft.

Een VLAN (Virtual Local Area Network) is een muur die je in dat pand bouwt.

Je maakt een apart kamertje met een eigen deur, speciaal voor je wifi-beveiligingscamera's. Ze zitten in hetzelfde gebouw, maar kunnen niet zomaar bij de andere kamers naar binnen. De reden is simpel: veiligheid en privacy.

Veel goedkope camera's, zoals die van merken als Reolink of Eufy, zitten soms vol met gaten in de beveiliging. Als ze in hetzelfde netwerk zitten als je laptop of je NAS, kunnen ze een springplank vormen voor hackers om bij je persoonlijke bestanden te komen.

Met een VLAN dwing je de camera's om in hun eigen hoekje te blijven. Ze kunnen wel beelden opnemen, maar niet op je computer snuffelen. Daarnaast los je meteen een praktisch probleem op: bandbreedte. Wifi-camera's die constant 2K of 4K beeld streamen, slurpen data.

Als je tegelijkertijd een film wilt streamen of wilt gamen, merk je dat.

Door ze in hun eigen VLAN te parkeren, beperk je de impact op de rest van je netwerk en blijft je internet voor jou soepel werken.

De router: je digitale bouwmeester

Om zo'n virtuele muur te bouwen, heb je de juiste router nodig. Je standaard modem-router van je internetprovider (zoals die van Ziggo of KPN) kan dit meestal niet.

Die is erop gebouwd om alles door elkaar te laten gaan. Je hebt een 'slimme' router nodig die je zelf volledig kunt instellen.

Denk aan de Ubiquiti EdgeRouter X (rond de €60-€70) of de TP-Link ER605 (ongeveer €65-€75). Deze routers zijn de deurwaarders van je netwerk. Je begint met twee dingen aan te maken: een nieuw netwerk (VLAN 20 bijvoorbeeld) en een bijbehorend wifi-netwerk (SSID).

Je geeft ze een naam, zeg maar 'KijkKamers'. Vervolgens stel je in dat dit netwerk volledig geïsoleerd is.

Dat betekent: niemand vanaf dit netwerk mag naar het hoofdnetwerk. De camera's kunnen wel naar het internet om te updaten of om je een notificatie te sturen, maar ze kunnen niet op je NAS kijken. Een handige extra stap is het instellen van een 'Firewall Rule'. Dit is een simpele regel: "Als een apparaat uit VLAN 20 probeert verbinding te maken met een apparaat in VLAN 10 (je hoofdnetwerk), blokkeer het dan direct." Dit werkt als een automatische deurbewaker die 24/7 surveilleert. Zo kun je een hack op je camera tijdig herkennen en weet je zeker dat ze braaf op hun plek blijven zitten.

Stap-voor-stap: Je eigen camera-eiland bouwen

Laten we dit concreet maken met de TP-Link ER605, een populaire en betaalbare keuze.

  1. Maak het VLAN aan: Log in op je ER605. Ga naar 'Transmission' -> 'VLAN'. Maak een nieuw VLAN aan, bijvoorbeeld ID 20. Geef het een naam als 'CAM_VLAN'.
  2. Wijs een poort toe: Geef aan welke fysieke poort op de router naar je access point gaat. Die poort moet 'tagged' worden voor VLAN 20. Dit vertelt de AP dat er verkeer met een 'CAM_VLAN' label aankomt.
  3. Stel het wifi-netwerk in op de AP: Log in op je access point. Maak een nieuw draadloos netwerk (SSID) aan, bijvoorbeeld 'Thuis_Kameras'. Koppel dit SSID aan VLAN ID 20. Doe dit niet aan je hoofd-wifi!
  4. IP-adressen regelen (DHCP): Zorg dat er een DHCP-server actief is voor VLAN 20. De router geeft dan automatisch een IP-adres aan elke camera (zoals 192.168.20.101, 192.168.20.102). Zo hoef je niets handmatig in te stellen op de camera's zelf.
  5. Isolatie aan: In de firewall-regels van de router: maak een regel die LAN-na-LAN verkeer blokkeert, maar met een uitzondering voor het specifieke CAM_VLAN. Of simpeler: zet 'Client Isolation' aan op het specifieke SSID van je camera's.

We gaan uit van een situatie waarin je een aparte access point (AP) hebt, zoals een TP-Link EAP225 (rond de €60) of een oudere router die je als AP gebruikt. De ER605 stuurt het netwerk aan, de AP zorgt voor het wifi-signaal. Als het goed is, kunnen je camera's nu verbinden met 'Thuis_Kameras', krijgen ze een IP-adres en hebben ze internet.

Probeer nu eens vanaf je laptop (die op 'Thuis_Wifi' zit) te pingen naar het IP-adres van een camera (bijv. ping 192.168.20.101). Dat moet 'Request timed out' geven. Perfect, de muur staat!

De juiste hardware kiezen: Van budget tot pro

Niet iedereen heeft zin om in complexe instellingen te duiken. Gelukkig zijn er opties voor elk budget.

De goedkoopste en makkelijkste manier is een tweede router. Koop een simpele router (zoals een TP-Link Archer C6 voor €50), sluit hem aan op je hoofdmodem, en zet hem in 'Access Point Mode'. Gebruik deze uitsluitend voor je camera's.

Zo heb je fysiek gescheiden netwerken, zonder enige configuratie. Nadeel: je beheert twee aparte netwerken.

De 'prosumer' markt, zoals Ubiquiti (Unifi) of TP-Link Omada, is de gouden standaard.

Een Unifi Dream Machine (UDM Pro, rond de €350) of een Omada ER605 met een bijbehorende Omada AP (totaal pakket rond de €150) geeft je één centraal dashboard. Hiermee zie je in één oogopslag welke camera's verbonden zijn, hoeveel data ze versturen en kun je met één druk op de knop het VLAN beheren. Dit voelt als een cockpit in plaats van een schroevendraaier. Voor de echte tech-liefhebber die alles zelf wilt draaien is een oude PC met Proxmox of een Raspberry Pi 5 (rond de €80) een gave optie.

Hierop draai je software routers zoals pfSense of OPNsense. Deze software is gratis, maar het vraagt technische kennis.

Je kunt hiermee zeer gedetailleerde regels maken, bijvoorbeeld dat je camera's alleen naar een specifieke server mogen sturen. Dit is de ultieme controle, maar wel met een steile leercurve.

Praktische tips voor een waterdicht systeem

Een veelgemaakte fout is het vergeten van de 'uplink'. Zorg dat de poort op je router waar je switch of access point op aansluit, het verkeer van alle VLANs door kan laten. Dit heet een 'Trunk' poort.

Als je dit vergeet, werkt je camera-netwerk niet en zit je te vloeken terwijl de hardware gewoon goed staat.

Hou rekening met de 'IoT-val'. Veel slimme camera's proberen na installatie verbinding te maken met de 'cloud' van de fabrikant, al kun je ook spraakopdrachten gebruiken voor je smart-tv om de beelden direct te streamen.

Als je hun internettoegang blokkeert (wat soms een optie is bij extreme isolatie), werkt de app op je telefoon niet meer. Test dus altijd of je de beelden via 4G (dus buiten je netwerk) kunt zien. Als dat niet werkt, moet je de firewall iets openen of de camera een specifieke DNS-server geven.

Vergeet niet dat je met dit systeem je netwerk serieuzer beheert. Houd een lijstje bij met de IP-adressen van je camera's (bijv. in een simpel Excel-bestandje).

Noteer ook de firmware-versies. Een camera die niet update is een open deur. Door ze in hun eigen VLAN te stoppen, beperk je de schade, maar een onveilige camera blijft een risico. Veilig camerabeelden delen met familie is slim, maar regelmatig updaten blijft je beste verzekering.

Portret van Marten van der Geest, duurzame energie en beveiligingstechnicus
Over Marten van der Geest

Marten is installateur van zonnepanelen en slimme beveiligingscamera's en dagelijks bezig met praktische oplossingen voor woningen. Hij schrijft om technische keuzes begrijpelijk te maken voor huiseigenaren.

Volgende stap
Bekijk alle artikelen over Privacywetgeving beveiligingscamera
Ga naar overzicht →